mybatis #和$ 的区别

最新推荐文章于 2025-03-26 20:15:33 发布
最新推荐文章于 2025-03-26 20:15:33 发布
阅读量260 收藏
点赞数
分类专栏: sping

注意,使用#符号和$符号的不同:

// This example creates a prepared statement, something like select * from teacher where name = ?;
@Select("Select * from teacher where name = #{name}")
Teacher selectTeachForGivenName(@Param("name") String name);

// This example creates n inlined statement, something like select * from teacher where name = 'someName';
@Select("Select * from teacher where name = '${name}'")
Teacher selectTeachForGivenName(@Param("name") String name);


转载请标明出处,转载于:https://blog.youkuaiyun.com/gebitan505/article/details/54929287

MyBatis - #{} ${}
m0_74859835的博客
09-21 876
mybatis - #{ } ${ } 的使用区别,预编译SQL 即时SQL 的优缺点,及SQL注入问题
MyBatis#$符的区别,sql注入问题,动态sql语句
m0_73381672的博客
02-06 1879
#{}${}都是MyBatis提供的sql参数替换。区别是: #{}是预编译处理,${}是字符串直接替换。 #{}可以防止SQL注入,${}存在SQL注入的风险,例如 “' or 1='1” 虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。
MyBatis#{} ${} 的区别
liuyuinsdu的专栏
03-12 1434
1、在MyBatis 的映射配置文件中,动态传递参数有两种方式: (1)#{}占位符 (2)${}拼接符 2、#{}${}的区别 (1) 1)#{}为参数占位符?,即sql 预编译 2)${}为字符串替换,即sql 拼接 (2) 1)#{}:动态解析 ->预编译-> 执行 2)${}:动态解析 ->编译-> 执行 (3) 1)#{}的变量替换是在DBMS中 2)${}的变量替换是在DBMS外 (4) 1)变量替换后,...
Mybatis${} #{} 的区别
动动发财的小手点点赞
03-26 407
${} 方式不安全直接拼接 SQL,容易被 SQL 注入攻击利用,#{} 方式安全通过预编译的方式传递参数,防止 SQL 注入。
#{}${}的区别是什么?
AKA_1234的博客
08-20 7445
#{}${}的区别是什么? #{}:是预编译处理,可以防止SQL注入 ${}:是字符串替换 例如: 在Mybatis中当你进行数据库查询时SQL语句通过#{id}传值 <select id="SelecUserById" resultType="com.hzc.pojo.User" parameterType="int"> select *from user where id=#{id}; </select> 当你执行项目时,我们通过log4j打印日志出来可以看到 DEB
Mybatis #$
井底之蛙
03-16 1万+
mybatis的mapper文件中,对于传递的参数我们一般是使用#$来获取参数值。 当使用#时变量是占位符,就是一般我们使用java jdbc的PrepareStatement时的占位符?,所有可以防止sql注入 当使用$时,变量就是直接追加在sql中,一般会有sql注入问题。 一个问题就是:在使用mybatis传递时间变量时,如果通过#方式获取变量值,可能会出现与数据库的字段的
Mybatis$#区别
u012102536的博客
08-29 1126
1 #是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id ='1'.  2 $是将传入的数据直接显示生成sql语句,eg:select id,name,age from studen
浅谈Mybatis #$区别以及原理
08-18
浅谈Mybatis #$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#$,它们均用于参数化SQL语句,但是它们的作用原理却有所不同,本文将详细介绍这两者的区别原理。 #$区别 在...
Mybatis#{}${}传参的区别#$区别小结
09-02
MyBatis框架中,`#{}``${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#``$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
Mybatis下动态sql中##$$区别讲解
08-26
Mybatis下动态sql中##$$区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis中,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis中,使用...
浅谈mybatis中的#$区别
09-02
MyBatis中,`#``$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
#$区别
01-06
Struts2 #,表达式语言的好处,Struts2 $,struts2 井号,星号,百分号
Mybatis#{}${}的用法
li_w_ch的博客
11-17 1万+
1、#{}将传入的数据当作一个字符串,会对传入的数据加上一个双引号。 比如, select * from student where student_name = #{studentName} 如果传入的值为xiaoming,那么解析成sql的值为student_name="xioming"。 2、${}将传入的数据直接显示生成在sql中。 如 : select ${fieldNmae} from student where student_age = 18 此时,传入的参数作为要查询的字
Mybatis#$区别
热门推荐
伏颜的博客
07-11 2万+
Mybatis#$区别
一文解惑mybatis中的#{}${}
一个菜鸡的博客
07-19 6141
{}先编译sql语句,再给占位符传值,底层是PreparedStatement实现。可以防止sql注入,比较常用。${}先进行sql语句拼接,然后再编译sql语句,底层是Statement实现。存在sql注入现象。只有在需要进行sql语句关键字拼接的情况下才会用到。
mybatis中的#$区别?
gol_phing的博客
08-12 904
1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为
mybatis#$区别
代码的诱惑
02-19 352
mybatis#$区别 #会把传入的值解析成字符串 $会把传入的值原封不动的传入
# $区别
weixin_44108717的博客
09-21 2979
推荐能使用#就不要使用 $ a.#{ } 1.相当于JDBC中的PreparedStatement ,是经过预编译的,安全 2.会为参数自动拼接引号 3.执行sql效果 select * from user where uid="1" and username="cathy" b.${ } 1.相当于JDBC中的Statement ,未经过预编译,非安全,存在sql注入危险 2.并不会给参数自动...
mybatis #{}${}的区别
wangml的博客
10-29 1万+
他们之间的区别用最直接的话来说就是:#相当于对数据 加上 双引号,$相当于直接显示数据。 1、#对传入的参数视为字符串,也就是它会预编译,select * from user where name = #{name},比如我传一个csdn,那么传过来就是 select * from user where name = 'csdn'; 2、$将不会将传入的值进行预编译,select * from...
mybatis#$区别
最新发布
04-28
### MyBatis中`#`与`$`的区别 #### 1. 基本概念 在 MyBatis 中,`#{}` `${}` 是用于动态替换 SQL 参数的两种不同语法形式。两者的实现机制适用场景有所不同。 - `#{}` 表达式会被 MyBatis 转换为 JDBC 的 PreparedStatement 形式的占位符 (`?`) 并通过预编译的方式绑定参数值[^3]。 - `${}` 则是简单的字符串替换操作,直接将变量值插入到 SQL 字符串中[^4]。 --- #### 2. 工作原理对比 ##### (1) `#{}` 预编译方式 当使用 `#{}` 时,MyBatis 会将其转换为 JDBC 的 PreparedStatement,并调用其 `setXXX()` 方法来设置参数值。这种机制能够有效防止 SQL 注入攻击,因为它确保了参数值不会被解析为 SQL 的一部分[^3]。 示例代码如下: ```sql <select id="getUserById" parameterType="int" resultType="User"> SELECT * FROM users WHERE id = #{userId} </select> ``` 在此例子中,`#{userId}` 将被替换成一个问号 (`?`),最终生成的 SQL 如下: ```sql SELECT * FROM users WHERE id = ? ``` 随后,MyBatis 使用 `PreparedStatement.setXXX()` 设置实际参数值。 --- ##### (2) `${}` 字符串替换方式 `${}` 的作用是对传入的参数进行简单替换,不涉及任何预编译或安全性检查。因此,在某些情况下可能会导致 SQL 注入风险[^4]。 示例代码如下: ```sql <select id="getUsersByTable" resultType="User"> SELECT * FROM ${tableName} WHERE status = &#39;active&#39; </select> ``` 如果 `tableName` 的值为 `"users"`,则最终生成的 SQL 为: ```sql SELECT * FROM users WHERE status = &#39;active&#39; ``` 但如果 `tableName` 来自外部输入且未经过验证,则可能导致恶意注入行为。 --- #### 3. 安全性比较 由于 `#{}` 使用的是预编译机制,因此可以很好地防范 SQL 注入问题;而 `${}` 只是一个单纯的字符串拼接工具,无法提供类似的保护措施。所以,在涉及到用户输入或其他不可信任的数据源时,应优先考虑使用 `#{}`。 --- #### 4. 应用场景分析 | 特性 | `#{}` | `${}` | |---------------------|------------------------------------------------------------------------------------------|---------------------------------------------------------------------------------------| | **工作模式** | 预编译 SQL | 简单字符串替换 | | **安全性** | 较高(能有效预防 SQL 注入) | 较低(容易受到 SQL 注入威胁) | | **适用范围** | 大多数常规查询条件字段,如数值、字符串等 | 动态表名、列名或者需要嵌套复杂表达式的场合 | 具体来说: - 如果只是普通的查询条件(比如 ID 或者名称),推荐采用 `#{}`; - 当遇到必须手动指定表名或者其他元数据的情况时才适合运用 `${}`。 --- ### 总结表格 | 对比项 | `#{}` | `${}` | |--------------------|-----------------------------------------------------------------------------------------|--------------------------------------------------------------------------------------| | 替换时机 | 执行 SQL 前由 MyBatis 自动完成 | 解析阶段即刻发生 | | 是否支持预编译 | 支持 | 不支持 | | 数据类型适配 | 自动匹配 | 需要显式声明 | | SQL 注入防护能力 | 强 | 弱 | | 推荐使用的场景 | 普通参数传递 | 动态修改 SQL 结构的部分,例如表名/列名 | ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值